NIST SP 800-171の適用に関して法令準拠要件に関する第三者機関の評価が求められるのか?
"第三者評価または認証(certification)は、DoDによる要求も、認定(authorized)も、承認もされていません。契約書に署名することにより、契約事業者は契約条件を遵守することに同意したことになります。C […]
DoDは、契約事業者が求められるセキュリティ要件に適合していることを認定(certify)するのか?
"いいえ、本規則による新たな管理監督の枠組みは作成されません。DFARSの252.204-7012の準拠規定は、契約事業者/下請事業者が本条項のすべての要件に適合することを求めています。契約書に署名することにより、契約事 […]
外国の下請事業者と協業している場合、(例えば、サイバーインシデントの報告やDoDへのデジタル画像の提供など)相手国の現地の法律と矛盾するためにフローダウンすることができないといった条項要件についてはどのように解決するのか?
DFARSは一般的に米国の契約事業者のために書かれており、外国のパートナー/下請け関係によって導入される複雑な状況については考慮していません。サイバーインシデントのDoDへの直接的な報告、DoDへのマルウェアとメディアの […]
DFARS条項252.204-7012はいつまでに、どのように下請事業者に展開(flow down)しなくてはならないのか?
"DFARS条項252.204-7012の要件は変更なしに下請事業者に展開することになります。252.204-7012(m)(1)に基づき、主契約事業者は、下請事業者の業務遂行に必要な情報が、引き続き本節に基づく対応を必 […]
NIST SP 800-171に関連して、DoD関連契約に際しては、いつDFARS条項252.204-7012の適用が求められるのか? 商用品の契約においても必要となる条項なのか? 汎用の市販品(COTS)は対象となるのか?
"DFARS条項252.204-7012は、市販品の獲得のための連邦調達規則(FAR)パート12の手続を使っているものを含めて、すべての約定および契約において必要とされています。なお、本条項は汎用の市販品(COTS)のみ […]
公開鍵暗号とは何ですか?
1970年代に全く新しい暗号方式が考え出されました。それが、公開鍵暗号方式です。共通鍵暗号方式では暗号化する人と復号する人が同じ鍵を使いましたが、公開鍵暗号方式では暗号化する鍵と復号する鍵が異なっているのが大きな特徴です […]
暗号の鍵とは何ですか?
暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。例えば、文章を暗号化するときは、まず始めに文章を数字で表現します。そしてそれを一定の規則に従って変換 […]
暗号の強度とは何ですか?
"一般的に鍵の選択の余地が多いほど、解読が難しくなります。例えば、鍵の選択が 10個しかないと、総当たりでも 10回試せば必ず解読に成功できるわけです。ですから、鍵の選択の余地が多いことが重要です。一般的に鍵が長いほど暗 […]
鍵の長さとは何ですか?
"暗号化または復号に使う鍵が何ビットあるかを鍵の長さと言います。鍵を長くすると安全性は向上しますが、暗号化・復号が遅くなるという欠点があります。また、暗号化の方法によっても鍵の長さが異なります。共通鍵暗号で用いる鍵の長さ […]
評価にはどのようなものが必要になりますか?
"セキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品だけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、実際の開発現場におけるセキュリティ維持のための手順書や実施証 […]